Κρατικοί χάκερ επιτίθενται σε ερευνητές ασφαλείας με νέο zero-day
Η Ομάδα Ανάλυσης Απειλών (TAG) της
Google
λέει ότι οι κρατικοί χάκερ της Βόρειας Κορέας στοχεύουν και πάλι ερευνητές ασφαλείας σε επιθέσεις χρησιμοποιώντας τουλάχιστον μία ημέρα μηδέν σε ένα δημοφιλές λογισμικό που δεν έχει αποκαλυφθεί.
Οι ερευνητές που δέχονται επίθεση σε αυτήν την
καμπάνια
εμπλέκονται στην έρευνα και ανάπτυξη ευπάθειας, σύμφωνα με την ομάδα ειδικών ασφαλείας της Google που προστατεύει τους χρήστες της εταιρείας από κρατικές επιθέσεις.
Η Google δεν έχει ακόμη αποκαλύψει λεπτομέρειες σχετικά με το ελάττωμα
zero-day
που εκμεταλλεύεται αυτές τις επιθέσεις και το όνομα του ευάλωτου λογισμικού, πιθανότατα επειδή ο προμηθευτής εξακολουθεί να βρίσκεται στη διαδικασία επιδιόρθωσης της ευπάθειας.
“Η TAG γνωρίζει ότι τουλάχιστον μία ενεργά εκμετάλλευση 0-day χρησιμοποιείται για τη στόχευση ερευνητών ασφαλείας τις τελευταίες εβδομάδες”, οι Clement Lecigne και Maddie Stone της Google TAG
είπε
.
“Η ευπάθεια έχει αναφερθεί στον επηρεαζόμενο προμηθευτή και βρίσκεται σε διαδικασία επιδιόρθωσης.”
Το Mastodon και το Twitter συνήθιζαν να έρχονται σε επαφή με στόχους
Οι επιτιθέμενοι χρησιμοποιούν τα μέσα κοινωνικής δικτύωσης Twitter και Mastodon για να παρασύρουν στοχευμένους ερευνητές ασφαλείας να μεταβούν σε κρυπτογραφημένες πλατφόρμες ανταλλαγής μηνυμάτων όπως το Signal, το Wire ή το WhatsApp.
Αφού δημιουργήσουν μια σχέση και μετακινηθούν σε ασφαλή κανάλια επικοινωνίας, οι εισβολείς τους στέλνουν κακόβουλα αρχεία που έχουν σχεδιαστεί για να εκμεταλλευτούν το zero-day.
Το ωφέλιμο φορτίο του shellcode που αναπτύσσεται στα συστήματα των ερευνητών ελέγχει εάν εκτελείται σε μια εικονική μηχανή και στη συνέχεια στέλνει συλλεγμένες πληροφορίες (συμπεριλαμβανομένων στιγμιότυπων οθόνης) στους διακομιστές εντολών και ελέγχου των εισβολέων.
Χρησιμοποιούν επίσης το
εργαλείο ανοιχτού κώδικα GetSymbol
για αντίστροφους μηχανικούς που θα βοηθούν μόνο στη λήψη συμβόλων εντοπισμού σφαλμάτων Microsoft, Google, Mozilla και Citrix, αλλά, αντίθετα, επιτρέπουν επίσης τη λήψη και την εκτέλεση αυθαίρετου κώδικα.
“Εάν έχετε κατεβάσει ή εκτελέσει αυτό το εργαλείο, η TAG συνιστά να λάβετε προφυλάξεις για να βεβαιωθείτε ότι το σύστημά σας είναι σε γνωστή καθαρή κατάσταση, που πιθανότατα απαιτεί επανεγκατάσταση του λειτουργικού συστήματος”, προειδοποίησαν οι Lecigne και Stone.
Λογαριασμός Twitter που ελέγχεται από επιτιθέμενους (Google TAG)
Δέχεται επίθεση τουλάχιστον από τον Ιανουάριο του 2021
Αυτή η καμπάνια είναι παρόμοια με μια προηγούμενη που παρουσιάστηκε τον Ιανουάριο του 2021, η οποία χρησιμοποίησε επίσης το Twitter και άλλες πλατφόρμες κοινωνικών μέσων όπως το LinkedIn, το Telegram, το Discord και το Keybase ως αρχικό διάνυσμα επαφής, που πιθανώς ενορχηστρώθηκε από τους ίδιους ηθοποιούς.
Σε αυτές τις επιθέσεις, οι βορειοκορεάτες φορείς απειλών χρησιμοποίησαν επίσης τις ημέρες μηδέν για να μολύνουν τα πλήρως επιδιορθωμένα συστήματα Windows 10 των ερευνητών ασφαλείας με κερκόπορτες και κακόβουλο λογισμικό κλοπής πληροφοριών.
Η Microsoft ανέφερε επίσης ότι παρακολουθούσε τις επιθέσεις του Ιανουαρίου 2021 και είδε χειριστές του Ομίλου Lazarus να μολύνουν
συσκευές
ερευνητών χρησιμοποιώντας αρχεία MHTML με κακόβουλο κώδικα JavaScript.
Τον Μάρτιο του 2021, η Google TAG αποκάλυψε ότι οι επιθέσεις επαναλήφθηκαν, στοχεύοντας ερευνητές ασφαλείας που χρησιμοποιούν ψεύτικους λογαριασμούς κοινωνικών μέσων στο LinkedIn και στο Twitter και μια ψεύτικη εταιρεία με το όνομα SecuriElite.
Νωρίτερα φέτος, τον Μάρτιο, η Mandiant συνέλαβε επίσης και εξέθεσε μια ύποπτη βορειοκορεατική ομάδα hacking που επιτέθηκε σε ερευνητές ασφαλείας και οργανισμούς μέσων ενημέρωσης στις
Ηνωμένες Πολιτείες
και την Ευρώπη χρησιμοποιώντας ψεύτικες προσφορές εργασίας για να τους μολύνει με νέο κακόβουλο λογισμικό.
Αν και η Google δεν έχει περιγράψει ρητά τους στόχους αυτών των επιθέσεων, ο πρωταρχικός τους στόχος φαίνεται να είναι η απόκτηση ακάλυπτων τρωτών σημείων ασφαλείας και εκμεταλλεύσεων στοχεύοντας συγκεκριμένους ερευνητές.